בקרת גישה לפרויקטים באמצעות IAM

‫Google Cloud כולל את הממשק לניהול הזהויות והרשאות הגישה (IAM), שבאמצעותו אתם יכולים לתת גישה פרטנית יותר למשאבים ספציפיים ב- Google Cloud ולמנוע גישה לא רצויה למשאבים אחרים. בעזרת IAM תוכלו לשמור על עקרון האבטחה של הרשאות מינימליות, וכך לתת רק למי שצריך את רמת הגישה שצריך למשאבים השונים.

באמצעות כללי המדיניות ב-IAM אתם יכולים להחליט למי (משתמשים) יהיו הרשאות גישה (תפקידים) למשאבים מסוימים. כללי המדיניות נותנים למשתמשים תפקידים ספציפיים עם הרשאות ספציפיות.

בדף הזה מוסבר על ההרשאות והתפקידים ב-IAM שבהם אפשר להשתמש כדי לנהל את הגישה לפרויקטים. מידע נוסף זמין במאמר ניהול הגישה לפרויקטים, לתיקיות ולארגונים.

הרשאות ותפקידים

כדי לשלוט בגישה למשאבים, Google Cloud דורש שלחשבונות שמבצעים בקשות API יהיו תפקידים מתאימים ב-IAM. תפקידי IAM כוללים הרשאות שמאפשרות למשתמשים לבצע פעולות ספציפיות במשאביGoogle Cloud . לדוגמה, ההרשאה resourcemanager.projects.delete מאפשרת למשתמש למחוק פרויקט.

המשתמשים לא מקבלים הרשאות בצורה ישירה. כדי להעניק למשתמשים הרשאות, צריך להקצות להם תפקידים שמוגדרת להם הרשאה אחת או יותר. אתם מקצים את התפקידים האלה למשאב מסוים, אבל הם חלים גם על כל המשאבים שנמצאים מתחתיו בהיררכיית המשאבים.

הרשאות

כדי לנהל פרויקטים, למשתמש ששולח את הבקשה צריך להיות תפקיד שכולל את ההרשאות הבאות. התפקיד מוקצה למשאב הארגון או לתיקייה שמכילים את הפרויקטים:

‏Method ההרשאות שנדרשות
resourcemanager.projects.create resourcemanager.projects.create
resourcemanager.projects.delete resourcemanager.projects.delete
resourcemanager.projects.get resourcemanager.projects.get
מתן ההרשאה הזו יאפשר גם גישה לשם של החשבון לחיוב שמשויך לפרויקט באמצעות השיטה billing.projects.getBillingInfo של Billing API.
resourcemanager.projects.getIamPolicy resourcemanager.projects.getIamPolicy
resourcemanager.projects.list resourcemanager.projects.list
resourcemanager.projects.search resourcemanager.projects.get
resourcemanager.projects.setIamPolicy resourcemanager.projects.setIamPolicy
resourcemanager.projects.testIamPermissions לא נדרשת הרשאה.
resourcemanager.projects.undelete resourcemanager.projects.undelete
resourcemanager.projects.patch כדי לעדכן את המטא-נתונים של פרויקט, צריך את ההרשאה resourcemanager.projects.update. כדי לעדכן את ההורה של פרויקט ולהעביר את הפרויקט למשאב ארגון, נדרשת הרשאה resourcemanager.projects.create במשאב הארגון.
projects.move projects.move

שימוש בתפקידים מוגדרים מראש

תפקידים מוגדרים מראש ב-IAM מאפשרים לכם לנהל את ההרשאות שזמינות למשתמשים. רשימה מלאה של התפקידים שאפשר להעניק ברמת הפרויקט מופיעה במאמר הסבר על התפקידים.

בטבלה הבאה מפורטים התפקידים המוגדרים מראש שבהם אפשר להשתמש כדי להעניק גישה לפרויקט. כל תפקיד כולל תיאור של המטרה שלו וההרשאות שהוא מכיל.

תפקיד הרשאות

(roles/resourcemanager.projectCreator)

ההרשאה הזו מאפשרת ליצור פרויקטים חדשים. אחרי שמשתמש יוצר פרויקט, הוא מקבל אוטומטית את תפקיד הבעלים בפרויקט הזה.

המשאבים ברמה הנמוכה ביותר שבהם אפשר להעניק את התפקיד הזה:

  • תיקייה

resourcemanager.organizations.get

resourcemanager.projects.create

(roles/resourcemanager.projectDeleter)

מאפשרת גישה למחיקת פרויקטים Google Cloud .

המשאבים ברמה הנמוכה ביותר שבהם אפשר להעניק את התפקיד הזה:

  • פרויקט

resourcemanager.projects.delete

(roles/resourcemanager.projectMover)

מאפשר גישה לעדכון ולהעברה של פרויקטים.

המשאבים ברמה הנמוכה ביותר שבהם אפשר להעניק את התפקיד הזה:

  • פרויקט

resourcemanager.projects.get

resourcemanager.projects.move

resourcemanager.projects.update

(roles/resourcemanager.projectIamAdmin)

מעניקה הרשאות לניהול מדיניות הרשאה בפרויקטים.

המשאבים ברמה הנמוכה ביותר שבהם אפשר להעניק את התפקיד הזה:

  • פרויקט

iam.policybindings.*

  • iam.policybindings.get
  • iam.policybindings.list

resourcemanager.projects.createPolicyBinding

resourcemanager.projects.deletePolicyBinding

resourcemanager.projects.get

resourcemanager.projects.getIamPolicy

resourcemanager.projects.searchPolicyBindings

resourcemanager.projects.setIamPolicy

resourcemanager.projects.updatePolicyBinding

(roles/browser)

גישת קריאה כדי לעיין בהיררכיה של פרויקט, כולל התיקייה, הארגון ומדיניות ההרשאה. התפקיד הזה לא כולל הרשאה לצפייה במשאבים בפרויקט.

המשאבים ברמה הנמוכה ביותר שבהם אפשר להעניק את התפקיד הזה:

  • פרויקט

resourcemanager.folders.get

resourcemanager.folders.list

resourcemanager.organizations.get

resourcemanager.projects.get

resourcemanager.projects.getIamPolicy

resourcemanager.projects.list

תפקידים בסיסיים

כדאי להשתמש בתפקידים בסיסיים רק אם יש צורך בכך. התפקידים האלה הם בעלי הרשאות גבוהות ומעניקים הרשאות נרחבות בכל השירותים של Google Cloud . מידע נוסף על השימוש בתפקידים בסיסיים זמין במאמר תפקידים בסיסיים.

תפקיד תיאור הרשאות
roles/owner גישה מלאה לכל המשאבים. כל ההרשאות לכל המשאבים.
roles/editor עריכת הגישה לרוב המשאבים. ליצור ולעדכן גישה לרוב המשאבים.
roles/viewer הרשאת קריאה לרוב המשאבים. קבלת גישה לרוב המשאבים והצגתם ברשימה.

יצירת תפקידים בהתאמה אישית

בנוסף לתפקידים המוגדרים מראש שמתוארים בנושא הזה, אפשר גם ליצור תפקידים בהתאמה אישית שהם אוספים של הרשאות שמותאמות לצרכים שלכם. כשיוצרים תפקיד בהתאמה אישית לשימוש ב-מנהל המשאבים, חשוב לשים לב לנקודות הבאות:
  • הרשאות כמו resourcemanager.projects.get/list, צריך תמיד לתת כזוג.
  • אם התפקיד בהתאמה אישית כולל את ההרשאות folders.list ו-folders.get, הוא צריך לכלול גם את ההרשאות projects.list ו-projects.get.
  • חשוב לדעת שההרשאה setIamPolicy למשאבי ארגון, תיקייה ופרויקט מאפשרת למשתמש להעניק את כל ההרשאות האחרות, ולכן צריך להקצות אותה בזהירות.

בקרת גישה ברמת הפרויקט

אפשר להקצות תפקידים למשתמשים ברמת הפרויקט באמצעות Google Cloud console, Cloud Resource Manager API ו-Google Cloud CLI. הוראות מפורטות זמינות במאמר הענקה, שינוי וביטול של הרשאות גישה.

תפקידי ברירת מחדל

כשיוצרים פרויקט, מקבלים את התפקיד roles/owner, שמעניק לכם שליטה מלאה בפרויקט. אפשר לשנות את תפקיד ברירת המחדל הזה במדיניות הרשאות.

VPC Service Controls

VPC Service Controls יכול לספק אבטחה נוספת כשמשתמשים ב-Cloud Resource Manager API. מידע נוסף על VPC Service Controls זמין בסקירה כללית על VPC Service Controls.

מידע על המגבלות הנוכחיות בשימוש ב-מנהל המשאבים עם VPC Service Controls מופיע בדף מוצרים נתמכים ומגבלות.